사용자가 클릭하는 버튼, 링크 등이 실제로는 공격자가 숨겨놓은 악성 요소를 클릭하게끔 속이는 공격.
웹사이트의 UI 요소를 투명하거나 보이지 않게 겹쳐 놓고, 사용자가 정상적인 버튼을 클릭했다고 생각하게 만들지만, 실제로는 공격자가 의도한 다른 기능을 실행하게 하는 방식
동작
- 공격자가 정상적인 웹사이트를 <iframe> 으로 삽입
- 그 위에 투명 버튼, 악성 링크를 겹쳐 놓음
- 사용자는 실제 정상 버튼을 클릭했다고 생각하지만, → 실제 클릭 이벤트는 공격자가 설정한 기능이 실행됨
예시
<iframe src="https://codelog.store/transfer?to=attacker&amount=100000" style="opacity:0; position:absolute; top:0; left:0; width:500px; height:500px;"></iframe>